Kelompok peretas terkenal Korea Utara yang dikenal sebagai Lazarus terus mengeksploitasi CVE-2021-44228, alias “Log4Shell” untuk menyebarkan tiga keluarga malware yang sebelumnya tidak terlihat. Malware baru Lazarus.
Malware baru tersebut adalah dua trojan akses jarak jauh (RAT) yakni:
- NineRAT
- DLRAT
- Pengunduh malware bernama BottomLoader.
Bahasa pemrograman D jarang terlihat dalam operasi kejahatan dunia maya, jadi Lazarus mungkin memilihnya untuk pengembangan malware baru agar tidak terdeteksi.
Operasi tersebut, yang diberi nama sandi “Operation Blacksmith”, dimulai sekitar bulan Maret 2023 dan menargetkan perusahaan manufaktur, pertanian, dan keamanan fisik di seluruh dunia.
Operation Blacksmith mewakili perubahan penting dalam taktik dan alat yang digunakan oleh Lazarus, yang juga merupakan demonstrasi taktik kelompok ancaman yang terus berubah.
Baca juga: Privasi dan Data Pribadi |
Malware Baru Lazarus
NineRAT
Malware pertama, NineRAT, adalah yang pertama dari dua RAT baru milik Lazarus. Ia menggunakan API Telegram untuk komunikasi command and control (C2), termasuk menerima perintah dan mengekstraksi file dari komputer yang dibobol.
NineRAT dilengkapi dengan dropper, yang juga bertanggung jawab untuk membangun persistensi dan meluncurkan biner utama.
Malware ini mendukung perintah berikut, yang diterima melalui Telegram:
-
info – Mengumpulkan informasi awal tentang sistem yang terinfeksi.
-
setmtoken – Tetapkan nilai token.
-
setbtoken – Tetapkan token Bot baru.
-
setinterval – Atur interval waktu antara polling malware ke saluran Telegram.
-
setleep – Tetapkan jangka waktu malware harus tidur/tidak aktif.
-
upgrade – Tingkatkan ke versi implan yang baru.
-
exit – Keluar dari eksekusi malware.
-
uninstall – Hapus instalan mandiri dari titik akhir.
-
sendfile – Mengirim file ke server C2 dari titik akhir yang terinfeksi.
Baca juga: 7 Risiko Internet Bagi Anak-anak |
DLRAT
Malware kedua, DLRAT, adalah trojan dan pengunduh yang dapat digunakan Lazarus untuk memasukkan muatan tambahan pada sistem yang terinfeksi.
Aktivitas pertama DLRAT pada perangkat adalah menjalankan perintah hard-code untuk mengumpulkan informasi sistem awal seperti detail OS, alamat MAC jaringan, dll., dan mengirimkannya ke server C2.
Server penyerang membalas dengan alamat IP eksternal korban dan salah satu perintah berikut untuk eksekusi lokal oleh malware:
deleteme – Hapus malware dari sistem menggunakan file BAT
download – Mengunduh file dari lokasi jarak jauh tertentu
rename – Mengganti nama file pada sistem yang terinfeksi
iamsleep – Perintahkan malware untuk memasuki keadaan tidak aktif selama jangka waktu tertentu
unggah – Unggah file ke server C2
showurls – Belum diterapkan
BottomLoader
BottomLoader adalah pengunduh malware yang mengambil dan mengeksekusi payload dari URL hardcode menggunakan PowerShell sekaligus membangun persistensi dari URL tersebut dengan memodifikasi direktori Startup.
Selain itu, BottomLoader menawarkan Lazarus kapasitas untuk mengeksfiltrasi file dari sistem yang terinfeksi ke server C2, memberikan beberapa fleksibilitas operasional.
Baca juga: Satu Login untuk Semuanya |
Serangan Log4Shell
Serangan yang diamati melibatkan pemanfaatan Log4Shell, kelemahan eksekusi kode jarak jauh yang penting di Log4j, yang ditemukan dan diperbaiki sekitar dua tahun lalu namun masih menjadi masalah keamanan.
Sasarannya adalah server VMWare Horizon yang secara publik menggunakan versi perpustakaan logging Log4j yang rentan, sehingga memungkinkan penyerang melakukan eksekusi kode jarak jauh.
Setelah kompromi tersebut, Lazarus menyiapkan alat proxy untuk akses persisten pada server yang dibobol, menjalankan perintah pengintaian, membuat akun admin baru, dan menyebarkan alat pencuri kredensial seperti ProcDump dan MimiKatz.
Pada serangan fase kedua, Lazarus menyebarkan NineRAT pada sistem, yang mendukung berbagai perintah, seperti yang disoroti di bagian sebelumnya.
Cisco menyimpulkan bahwa ada kemungkinan Lazarus memberi makan kelompok atau cluster APT (ancaman persisten tingkat lanjut) lainnya di bawah payungnya dengan data yang dikumpulkan oleh NineRAT.
Asumsi ini didasarkan pada fakta bahwa NineRAT melakukan “re-fingerprinting” sistem dalam beberapa kasus, yang menyiratkan bahwa NineRAT dapat melakukan pengidentifikasian sistem dan pengumpulan data untuk banyak aktor.
Sumber berita: